此次Cetus受攻擊的原因及影響暫時還不清楚,我們可以先看一下Cetus的代碼安全審計情況。

外行咱們看不懂具體的技術,但是這個審計摘要是能看懂的。

➤Certik的審計

來看,Certik對Cetus的代碼安全審計,只發現2個輕度危險、且已解決。還有9個信息性風險,6個已解決。

图像



Certik給出的綜合評分是83.06,代碼審計評分是96分。

➤Cetus的其他審計報告(SUI鏈)

在Cetus的Github上共列出了5份代碼審計報告,其中不包括Certik的審計。估計項目方也知道,Certik的審計就是個形式,所以沒把這份報告放進來。

Cetus同時支持Aptos和SUI鏈,這5份審計報告分別來自MoveBit、OtterSec和Zellic。其中MoveBit、OtterSec分別對Cetus在Aptos和SUI鏈上的代碼進行審計,Zellic審計的應該也是SUI鏈上的代碼。

因爲此次被攻擊的是SUI鏈上的Cetus,因此下面只看Cetus在SUI鏈的審計報告。

❚ 來自MoveBit的審計報告

報告上傳Github時間:2023-04-28

我們如果看不懂具體的審計內容,可以找到這樣的表格,看看報告中列出的各個級別的風險問題的數量,和解決情況。


图像

MoveBi對Cetust的審計報告,共發現18個風險問題,包括1個致命風險問題、2個主要風險問題、3箇中度風險問題、12個輕度風險問題,全部已解決。

比Certik發現的問題要多,並且Cetus已經全部解決了這些問題。

❚ 來自OtterSec的審計報告

報告上傳Github時間:2023-05-12

OtterSec對Cetus的審計報告共發現1個高風險問題、1箇中度風險問題和7個信息性風險,因爲報告的表格中沒有直接顯示風險問題解決情況,就不截圖了。

其中,高風險問題和中度風險問題都已經解決。信息性風險問題,解決了2個,有2個提交了修復補丁,還有3個。大致研究了一下,這3個分別是:

•Sui與Aptos版本代碼不一致問題,可能影響流動池的價格計算準確性。
•缺少暫停狀態驗證,在Swap時沒有驗證流動性池是否處於暫停狀態。如果池子被暫停可能仍然可以交易。
•將u256類型轉換爲u64類型,如果值超過MAX_U64會導致溢出,在大額交易時,可能導致計算出錯。

現在不確定被攻擊是否和以上問題相關。

❚ 來自Zellic的審計報告

報告上傳Github時間:2025年4月

Zellic對Cetus的審計報告共發現3個信息性風險、都未修復:

• 一個函數授權問題,允許任何人調用向任何合夥伴賬戶裏存入費用。這好像沒啥風險,是存錢、又不是取錢。所以Cetus暫時也沒去修復。

• 存在一個已棄用代仍然被引用的函數,代碼冗餘,貌似沒啥風險,只不過代碼規範性不太夠。

• NFT顯示數據中的一個UI呈現問題,本來可以用字符型,但Cetus用了Move語言中比較複雜的TypeName數據類型。這不算啥問題,而且可能未來Cetus會給NFT開發其他功能。

總體上來說,Zellic發現了3個臭氧層子問題,基本上沒啥風險,屬於代碼規範性方面的。

我們要記住這三家審計機構:MoveBit、OtterSec、Zellic。因爲現在市場上的審計機構多數是擅長EVM審計,這三家審計機構屬於Move語言代碼審計機構。

➤審計與安全級別(以新DEX爲例)

首先,沒有代碼審計過的項目,是有一定Rug風險的。畢竟他連這個審計的錢都不願意出,很難讓人相信有長期經營的願望。

其次,Certik審計,其實是一種"人情式審計"。爲什麼說是"人情式審計"呢,Certik與coinmarketcap有非常緊密的合作。在coinmarketcap的項目頁面上有一個審計圖標,點擊會進入Certik的導航平臺skynet。

图像



coinmarketcap作爲幣安旗下的平臺,間接的使Certik與幣安建立了合作關係。事實上幣安和Certik的關係一向不錯,因此想上幣安的項目大部分會尋求Certik的審計。

所以一個項目如果尋求Certik的審計,大概率想上幣安。

但是,歷史證明,僅由Certik審計的項目被攻擊的概率不低,例如DEXX。甚至有的項目已經FUG了,例如ZKasino。

當然,Certik也有其他的一些安全性幫助,不僅有代碼審計,Certik對網站、DNS等會進行掃描,有一些代碼審計以外的安全信息。

第三,不少項目會尋求1家~多家其他的優質審計主體進行代碼安全審計。

第四,除了專業代碼審計,某些項目還會開展漏洞賞金計劃和審計競爭,集思廣議、排除漏洞。

因爲本次受攻擊的是DEX產品,所以以一些較新的DEX爲例:

---------------------------
✦✦✦GMX V2,由abdk、certora、dedaub、guardian、sherlock共5家公司進行代碼審計,並推出了單項最高500萬美元漏洞賞金計劃。

✦✦✦DeGate,由Secbit、Least Authority、Trail of Bits共35家公司進行代碼審計,並推出了單項最高111萬美元漏洞賞金計劃。

✦✦✦DYDX V4由Informal Systems進行代碼安全審計,並推出了單項最高500萬美元漏洞賞金計劃。

✦✦✦hyperliquid由hyperliquid進行代碼安全審計,並推出了單項最高100萬美元漏洞賞金計劃。

✦✦UniversalX由是Certik和慢霧分別進行代碼審計。

✦GMGN比較特殊,沒有找到代碼審計報告,只有有單項最高1萬美元的漏洞賞金計劃。

图像



➤寫在最後

經過回顧這些DEX的代碼安全審計情況,我們可以發現,即使像Cetus這樣由3家審計機構共同審計的DEX也仍然會受到攻擊。多主體審計,配合漏洞賞計劃或審計競賽,安全性相對有保障。

但是,對於一些新的Defi協議而言,代碼審計中尚有問題沒有修復,這就是爲什麼蜂兄格外關注新的Defi協議的代碼審計情況。